Hallo,
Tips ini mengupdate tips sebelumnya https://www.mail-archive.com/mdaemon-l@dutaint.com/msg46409.html MDaemon 20.0.x mendukung MTA-STS protocol. MTA-STS (MTA Strict Transport Security) adalah standar network security baru untuk mengharuskan sender menggunakan koneksi SMTP/TLS (STARTTLS) saat kirim mail ke domain kita, tidak lagi opsional. Hal ini dimaksudkan untuk menghindari man-in-the-middle attacks (MITM). Penjelasan lebih rinci bisa dibaca disini https://www.hardenize.com/blog/mta-sts https://www.uriports.com/blog/mta-sts-explained/ Penerapan MTA-STS di MDaemon sbb: Pengiriman mail --------------- Prasyarat a. aktifkan STARTTLS http://mdaemon.dutaint.co.id/mdaemon/20.0/index.html?ssl_mdaemon.htm [x] Enable SSL, STARTTLS, and STLS [x] SMTP server sends mail using STARTTLS when possible b. aktifkan DNSSEC (DNS Security Extensions) http://mdaemon.dutaint.co.id/mdaemon/20.0/index.html?ssl_dnssec.htm [x] Enabled DNSSEC Setelah prasyarat dipenuhi maka aktifkan MTA-STS http://mdaemon.dutaint.co.id/mdaemon/20.0/index.html?ssl_starttls-required-list_2.htm [x] Enable REQUIRETLS (RFC 8689) [x] Enable MTA-STS [x] Cache MTA-STS DNS records Penerimaan Mail -------------- 1. Aktifkan webmail https http://mdaemon.dutaint.co.id/mdaemon/20.0/index.html?ssl_worldclient.htm [x] HTTP and HTTPS atau [x] HTTPS only atau [x] HTTP redirected to HTTPS HTTPS port: 443 2. buat MTA-STS policy berupa file MTA-STS.txt di folder \\mdaemon\worldclient\.well-known\ yang isinya version: STSv1 mode: testing mx: mail.domain.tld mx: mx.domain.tld max_age: 86400 catatan: mode bisa berupa : enforce (harus, wajib), testing atau none https://www.mailhardener.com/kb/mta-sts https://www.uriports.com/blog/mta-sts-explained/ 3. buat DNS A atau CNAME record mta-sts.domain.tld. mta-sts.domain.tld CNAME mail.domain.tld contoh: $ host -t a mta-sts.dutaint.co.id mta-sts.dutaint.co.id is an alias for mail.dutaint.co.id. mail.dutaint.co.id has address 139.255.33.189 $ host -t a mta-sts.mdaemon.com mta-sts.mdaemon.com has address 65.99.242.68 Perhatikan bahwa mta-sts.domain.tld ini merujuk ke webmail https://mail.domain.tld (lihat point nomer 2 diatas), tetapi sebenarnya boleh saja merujuk ke portal web https://domain.tld. Dengan demikian jika masih pakai koneksi Dynamic IP (wired/wireless broadband) bisa saja MTA-STS policy diaktifkan di https portal web. https://domain.tld/.well-known/mta-sts.txt 4. buat DNS TXT record _mta-sts.domain.tld di Name Server (Authoritative DNS server) domain kita. _mta-sts.domain.tld TXT v=STSv1; id=20200206T010101; dimana id harus diganti (ditambah) versinya setiap ganti policy, misalkan menjadi id=20200827T010101; atau id=20200827T010102 contoh: $ host -t txt _mta-sts.dutaint.co.id _mta-sts.dutaint.co.id descriptive text "v=STSv1; id=20200506T010101;" $ host -t txt _mta-sts.gmail.com _mta-sts.gmail.com descriptive text "v=STSv1; id=20190429T010101;" $ host -t txt _mta-sts.yahoo.com _mta-sts.yahoo.com descriptive text "v=STSv1; id=20161109010200Z;" MTA-STS Reporting ----------------- http://mdaemon.dutaint.co.id/mdaemon/20.0/index.html?ssl_starttls-required-list_2.htm untuk pengiriman mail [x] Enable TLS Reporting (RFC 8460) penerimaan mail buat DNS record _smtp._tls.domain.tld di Name Server (Authoritative DNS server) domain kita. _smtp._tls.domain.tld txt v=TLSRPTv1; rua=mailto:mail...@domain.tld contoh $ host -t txt _smtp._tls.dutaint.co.id _smtp._tls.dutaint.co.id descriptive text "v=TLSRPTv1; rua=mailto:mtasts-repo...@dutaint.co.id"; $ host -t txt _smtp._tls.gmail.com _smtp._tls.gmail.com descriptive text "v=TLSRPTv1;rua=mailto:sts-repo...@google.com"; $ host -t txt _smtp._tls.dutaint.com _smtp._tls.dutaint.com descriptive text "v=TLSRPTv1; rua=mailto:mtasts-repo...@dutaint.co.id"; -- syafril --------- Syafril Hermansyah -- --[mdaemon-l]---------------------------------------------------------- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 20.0.3, SecurityGateway 7.0.1
